Gebyr til Oslo kommune Utdanningsetaten

Datatilsynet sendte i april 2019 varsel til Oslo kommune Utdanningsetaten om et overtredelsesgebyr for brudd på personopplysningssikkerheten i mobilapplikasjonen Skolemelding. I oktober ble det vedtatt et endelig gebyr på 1,2 milioner kroner.

Gebyret blir gitt fordi kommunen ikke hadde gjennomført egnede tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. I vurderingen ble det lagt vekt på blant annet:

  1. Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser.
  2. Manglende sikkerhet rundt innloggingen i appen har gjort det mulig for uvedkommende å få tilgang til å se og endre personopplysninger til mer enn 63 000 barn i grunnskolen i Oslo.
  3. Mangelfull sikkerhetstesting før lanseringen av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.

Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen.

Les hele saken som ble publisert i forbindelse med varselet

Lavere gebyr enn varslet

Datatilsynet har imidlertid kommet til at det varslede gebyret på 2 millioner må nedjusteres noe. Vi har i vurderingen lagt vekt på at Oslo kommune har iverksatt tiltak for å begrense skadene så raskt som kommunen fikk kunnskap om bruddet. Kommunen har vist vilje til å ordne opp i hendelsen.

Last ned